6.7.2 軽減策の有効化

VMware vSphere ESXiサーバ用の軽減策(Hypervisor-Specific Mitigation)、及び仮想マシン用の軽減策(Hypervisor-Assisted Guest Mitigation)の有効化について説明します。

VMware vSphere ESXiサーバ用の軽減策(Hypervisor-Specific Mitigation)の有効化

L1 Terminal Fault(L1TF)、及びMicroarchitectural Data Sampling(MDS)

ESXi Side-Channel-Aware Schedulerを有効化することで、L1TF、及びMDSへのHypervisor-Specific Mitigationが有効になります。

L1TF、及びMDSの詳細、並びにESXi Side-Channel-Aware Schedulerを有効化する方法は、VMware社が提供する以下の「Knowledge Base」をご覧ください。 

CPUの脆弱性 Knowledge Base
L1 Terminal Fault https://kb.vmware.com/s/article/55806
Microarchitectural Data Sampling https://kb.vmware.com/s/article/67577
注 意
  • ESXi Side-Channel-Aware Schedulerを有効化する際に、VMware vSphere ESXiサーバを再起動していただく必要があります。
  • ESXi Side-Channel-Aware Schedulerを有効化したVMware vSphere ESXiサーバでは、CPUの性能が低下する可能性があります。
  • ESXi Side-Channel-Aware Schedulerを有効化した場合のVMware vSphere ESXiサーバへの影響の詳細は、VMware社が提供する「Knowledge Base(https://kb.vmware.com/kb/55767)」をご覧ください。  
補 足

ESXi Side-Channel-Aware Schedulerが無効化されている場合は、VMware vSphere ESXiサーバの「サマリ」タブに警告が表示されます。

しかし、本サービスにおいては、この警告を非表示に設定した状態でお引き渡しします。お引き渡し後に、お客様にて本警告を表示する場合は、「6.7.4 留意事項」をご参照ください。

仮想マシン用の軽減策(Hypervisor-Assisted Guest Mitigation)の有効化

CPUの脆弱性に対応しているVMware vSphere ESXiサーバ上の仮想マシンの電源をONにすることで、Hypervisor-Assisted Guest Mitigationが有効になります。

注 意

Hypervisor-Assisted Guest Mitigationの有効化により、VMware vSphere vMotionの機能に制限が生じる場合があります。制限の詳細は、「6.7.3 機能制限」をご参照ください。 

補 足
  • Hypervisor-Assisted Guest Mitigationを有効化する場合は、お客様が構築された仮想マシンのハードウェアのバージョンが「9」以上である必要があります。 
  • 一部のHypervisor-Assisted Guest Mitigationは、お客様が構築された仮想マシン上で有効化されたことを確認できます。
    • Spectre、及びMeltdownへのHypervisor-Assisted Guest Mitigationの有効化を確認する場合は、「Knowledge Base(https://kb.vmware.com/s/article/52085)」をご覧ください。  
    • MDSへのHypervisor-Assisted Guest Mitigationの有効化を確認する場合は、「Knowledge Base(https://kb.vmware.com/s/article/68024)」をご覧ください。